Se connecter S’abonner
Mise en place du réseau

Le pare-feu de PfSense-CE : Côté LAN

Tom

5 min de lecture
Le pare-feu de PfSense-CE : Côté LAN

Les règles de filtrage sur l'interface LAN

Dans un post précédent, nous avons paramétré un bridge dans PfSense-CE afin de créer Un switch LAN. Nous avons rapidement inscrit une règle de filtrage permettant l'accès globale des machines du réseau local.
Cette règle est permissive et vous me direz : ce n'est pas grave, ce sont les machines de la maison.
Eh bien, je vais vous répondre que d'une part votre réseau est exposé à une intrusion et d'autre part cela peut permettre à l'intérieur même d'un domicile de limiter les accès.
Pourquoi est-il exposé ? parce que si quelqu'un réussit à s'introduire sur le réseau, il pourra faire ce qu'il veut puisque toutes les IP sont autorisées.
Par exemple, quelqu'un s'introduit chez vous via le Wifi[1], il se voit attribuer une IP locale et peut facilement se balader dans votre réseau et avoir accès à vos données.
En autorisant uniquement les machines bien identifiées de votre domicile, vous limitez considérablement l'accès à votre réseau.
L'autre raison aussi, c'est de limiter temporairement les autorisations sur le réseau, par exemple : l'accès à internet. PfSense-CE permet d'éditer une règle de filtrage avec une programmation horaire.

Idéalement, il faudrait isoler les machines sensibles du reste du réseau local. Cela est possible en utilisant la segmentation du réseau. Cette organisation ne peut se faire qu'en utilisant le VLAN.[2]

  1. Votre réseau Wifi est visible de l'extérieur sur une certaine distance qui dépasse votre domicile, parfois les mots de passe sont facilement devinés. On peut s'introduire à votre domicile, invité ou pas, et avoir un accès au réseau, etc. ↩︎

  2. Le VLAN : réseau local virtuel est un réseau logique indépendant. On peut en gérer plusieurs sur le même réseau LAN. Il faudra un commutateur (Switch) réseau mangeable et fixer les règles de pare-feu sur le routeur. ↩︎

1- On fixe des IP statiques pour tous les appareils succeptibles de se connecter au réseau local.

Dans mon exemple On a :

  • une station fixe Windows 11
  • Un pc portable MacBook
  • Un smartphone
  • Une console de jeu Xbox
  • une smart TV

Pour attribuer une IP fixe, le plus simple est de se rendre sur la liste des baux connectés
---> Status ---> DHCP Leases
Il suffit de repérer le nom d'hôte ou si ce n'est pas le cas, sur l'appareil lui-même et voir les paramètres de connexion réseau, l'IP s'y trouve.
add-static.png
Il s'agit ici de la console de jeu Xbox
xbox-static.png

Vous ne pouvez pas utilisez une IP de la rangée d'adresses décidé lors de la création de votre Serveur DHCP par exemple:
Votre réseau est le 10.0.0.0
Vous avez choisi un pool compris entre 10.0.0.2 à 10.0.0.154, il servira pour attribuer de façon dynamique une adresse IP.
Pour attribuer une adresse IP statique, on choisira ici le 10.0.0.155 qui se trouve en dehors de cette rangée.

Vous répétez cette manipulation autant de fois que vous avez d'appareils connectés à votre domicile.

2- On va créer une règle de filtrage sur l'interface LAN (SWITCHLAN)

Cette première règle est qu'on va tout bloquer ! Personne ne pourra se connecter au réseau.

---> FireWall ---> Rules ---> GROUPE_LAN

rule-lan-block.png

Depuis le début, je travaille uniquement avec l'IPv4, je n'ai pas pour l'instant obtenu un résultat probant pour l'acheminement IPv6 de la Box Bouygues au routeur PfSense-CE.

Pour l'instant tout est bloqué à tous les niveaux pour les machines locales !

3-On va créer maintenant pour chaque machine une règle qui leur autorise l'accès au réseau.

---> Firewall ---> Rules ---> GROUPE_LAN
--->Add
On va créer au-dessus de la règle de blocage sinon PfSense ne prendra en compte que celle-ci.

xboxautorise.png

On va reproduire cette règle pour l'ensemble des machines.
rule-toutes-machines.png

On a désormais toutes les machines physiques du domicile qui sont autorisés à se connecter ! La règle de blocage interdit à toute autre machine de rejoindre le réseau.

4-Je vous fais la démonstration pour une programmation "horaires" pour une règle

Par exemple, je veux que pour un temps programmé, la console Xbox ne soit pas autorisé en réseau après 22 h en semaine, et cela, jusqu'à 9 h le matin, je la laisserais active sur le week-end.

Il faut auparavant créer un calendrier qui contiendra les plages horaires :

---> FireWall ---> Schedules
---> Add
plages-horaires-xbox.png

recap-plages-hor-xbox.png

Les plages peuvent être programmées mois par mois, une plage horaire à la fois.
Sur cet exemple, j'ai programmé le mois d'avril et le mois de mai
avec une plage horaire semaine autorisée de 9 h à 22 h et une plage horaire qui autorise la XBox à se connecter tout le week-end.

On reprend la règle de filtrage concerant la Xbox, on l'édite:
---> FireWall ---> Rules ---> GROUPE_LAN
modifxbox.png

xboxmodif1.png

OPTIONXBOX.png

Le calendrier est bien actif sur la règle de pare-feu concernant la Xbox.
HORAIRES-VALIDES-XBOX.png

Voilà, on a abordé les règles de filtrage sur le réseau local, c'est une base correcte pour petit réseau domestique.
Je reviendrai probablement sur le sujet afin d'améliorer le temps venu.

On s'aperçoit à ce stade de ce que l'on peut faire avec ce système, impossible à reproduire sur une box d'opérateur.